一种访问控制方法、装置、系统及计算机可读存储介质与流程

本发明属于网络技术领域，特别是涉及一种访问控制方法、装置、系统及计算机可读存储介质。

背景技术：

目前，随着网络技术的不断发展，网络系统中的设备越来越多，为了提高网络的安全性，经常需要对网络系统中设备的访问权限进行限制，例如，对于存储有较高安全性级别数据的服务器，仅允许部分服务器进行访问。

现有技术中，在进行访问限制时，通常是在目标设备存储一个权限名单，该权限名单中记载着所有允许访问该目标设备，以及不允许访问该目标设备的访问设备的网络协议(ip)地址，目标设备在接收到访问设备发来的数据包时，会先基于该数据包获取发送给数据包的访问设备的ip，然后基于该访问设备的ip以及权限名单判断该访问设备的ip是否有访问权限，如果有，则对数据包进行处理，反之，则不对该数据包进行处理，进而实现访问控制。

但是，在网络系统中的服务器数量较多，访问控制的关系较为复杂时，存储在目标设备的权限名单的规模会很大，进而占用目标设备较多的存储空间，同时目标设备基于该权限名单确定权限的操作，也会消耗目标设备较多的资源，进而降低目标设备的性能，影响目标设备对数据包的正常处理。

技术实现要素：

有鉴于此，本发明提供一种访问控制方法、装置、系统及计算机可读存储介质，在一定程度上解决了进行访问限制时，对目标设备的存储空间占用较多，降低目标设备的性能，影响目标设备对数据包的正常处理的问题。

依据本发明的第一方面，提供了一种访问控制方法，应用于包括中转设备和目标设备的系统，该方法可以包括：

所述中转设备接收访问设备发送的访问数据包；所述访问数据包的目标地址为所述目标设备的ip地址；

所述中转设备基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包；

所述中转设备将所述目标数据包发送给所述目标设备；

所述目标设备基于所述权限属性标识所表示的权限属性对所述目标数据包进行处理。

依据本发明的第二方面，提供了一种访问控制方法，应用于中转设备，该方法可以包括：

接收访问设备发送的访问数据包；所述访问数据包的目标地址为目标设备的ip地址；

基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包；

将所述目标数据包发送给所述目标设备。

可选的，所述权限属性包括允许访问以及禁止访问，所述权限属性标识为权限ip地址；

所述基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包，包括：

获取所述访问数据包的源地址；

基于所述访问数据包的源地址，确定所述访问数据包的权限属性对应的权限ip地址；

利用所述访问数据包的权限属性对应的权限ip地址替换所述访问数据包的源地址，得到目标数据包。

可选的，所述基于所述访问数据包的源地址，确定所述访问数据包的权限属性对应的权限ip地址，包括：

基于所述访问数据包的源地址确定所述访问数据包的源地址所在的目标网段；

根据所述目标网段在预设的网段与权限ip地址对应关系中进行匹配，确定所述目标网段对应的权限ip地址，以作为所述访问数据包的权限属性对应的权限ip地址。

可选的，所述权限属性标识为指定标记符；

所述基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包，包括：

获取所述访问数据包的源地址；

基于所述访问数据包的源地址，确定所述访问数据包的权限属性；

在所述访问数据包的指定位置插入所述访问数据包的权限属性对应的指定标记符，得到目标数据包。

可选的，所述接收访问设备发送的访问数据包，包括：基于所述访问设备的端口信息以及所述访问设备的ip地址，与所述访问设备建立连接通道；基于所述连接通道接收所述访问数据包；

将所述目标数据包发送给所述目标设备之后，所述方法还包括：

接收目标设备发送的响应数据包；若所述响应数据包的目标地址为权限ip地址，则基于所述响应数据包中的端口信息，通过与所述端口信息对应的连接通道将所述响应数据包发送给对应的访问设备。

依据本发明的第三方面，提供了一种访问控制方法，应用于目标设备，该方法可以包括：

接收中转设备发送的目标数据包；所述目标数据包中设置有表示所述目标数据包的权限属性的权限属性标识，所述目标数据包是所述中转设备基于访问设备发送的访问数据包生成的，所述访问数据包的源地址为所述访问设备的ip地址；

基于所述目标数据包中的权限属性标识，对所述目标数据包进行处理。

可选的，所述基于所述目标数据包中的权限属性标识，对所述目标数据包进行处理，包括：

若所述目标数据包中的权限属性标识表示允许访问，则对所述目标数据包进行处理；

若所述目标数据包中的权限属性标识表示禁止访问，则丢弃所述目标数据包。

依据本发明的第四方面，提供了一种访问控制系统，该系统包括：中转设备和目标设备；

所述中转设备，用于接收访问设备发送的访问数据包；所述访问数据包的目标地址为所述目标设备的ip地址；

所述中转设备，还用于基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包；

所述中转设备，还用于将所述目标数据包发送给所述目标设备；

所述目标设备，用于基于所述权限属性标识所表示的权限属性对所述目标数据包进行处理。

依据本发明的第五方面，提供了一种访问控制装置，应用于中转设备，该装置可以包括：

第一接收模块，用于接收访问设备发送的访问数据包；所述访问数据包的目标地址为目标设备的ip地址；

设置模块，用于基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包；

第一发送模块，用于将所述目标数据包发送给所述目标设备。

可选的，所述权限属性包括允许访问以及禁止访问，所述权限属性标识为权限ip地址；

所述设置模块，包括：

获取子模块，用于获取所述访问数据包的源地址；

确定子模块，用于基于所述访问数据包的源地址，确定所述访问数据包的权限属性对应的权限ip地址；

替换子模块，用于利用所述访问数据包的权限属性对应的权限ip地址替换所述访问数据包的源地址，得到目标数据包。

可选的，所述确定子模块，用于：

基于所述访问数据包的源地址确定所述访问数据包的源地址所在的目标网段；

根据所述目标网段在预设的网段与权限ip地址对应关系中进行匹配，确定所述目标网段对应的权限ip地址，以作为所述访问数据包的权限属性对应的权限ip地址。

可选的，所述权限属性标识为指定标记符；

所述设置模块，用于：

获取所述访问数据包的源地址；

基于所述访问数据包的源地址，确定所述访问数据包的权限属性；

在所述访问数据包的指定位置插入所述访问数据包的权限属性对应的指定标记符，得到目标数据包。

可选的，所述第一接收模块，用于：

基于所述访问设备的端口信息以及所述访问设备的ip地址，与所述访问设备建立连接通道；基于所述连接通道接收所述访问数据包；

所述装置还包括：

第二接收模块，用于接收目标设备发送的响应数据包；

第二发送模块，用于若所述响应数据包的目标地址为权限ip地址，则基于所述响应数据包中的端口信息，通过与所述端口信息对应的连接通道将所述响应数据包发送给对应的访问设备。

依据本发明的第六方面，提供了一种访问控制装置，应用于目标设备，该装置可以包括：

第三接收模块，用于接收中转设备发送的目标数据包；所述目标数据包中设置有表示所述目标数据包的权限属性的权限属性标识，所述目标数据包是所述中转设备基于访问设备发送的访问数据包生成的，所述访问数据包的源地址为所述访问设备的ip地址；

处理模块，用于基于所述目标数据包中的权限属性标识，对所述目标数据包进行处理。

可选的，所述处理模块，用于：

若所述目标数据包中的权限属性标识表示允许访问，则对所述目标数据包进行处理；

若所述目标数据包中的权限属性标识表示禁止访问，则丢弃所述目标数据包。

依据本发明的第七方面，提供了一种计算机可读存储介质，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现如第一方面、第二方面以及第三方面所述的访问控制方法的步骤。

针对在先技术，本发明具备如下优点：

中转设备可以接收访问设备发送的访问数据包，然后基于访问数据包的源地址为访问数据包设置权限属性标识，得到目标数据包，其中，该权限属性标识用于表示访问数据包的权限属性，权限属性包括允许访问以及禁止访问，最后将目标数据包发送给目标设备，目标设备可以基于该权限属性标识所表示的权限属性对目标数据包进行处理，这样，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包中包括的权限属性标识即可确定目标数据包的访问权限，进而实现对访问设备发送的数据包进行处理，进而可以降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是本发明实施例提供的一种访问控制方法的步骤流程图；

图2是本发明实施例提供的另一种访问控制方法的步骤流程图；

图3是本发明实施例提供的又一种访问控制方法的步骤流程图；

图4是本发明实施例提供的再一种访问控制方法的步骤流程图；

图5是本发明实施例提供的再一种访问控制方法的步骤流程图；

图6是本发明实施例提供的一种访问控制系统的应用示意图；

图7是本发明实施例提供的一种访问控制装置的框图；

图8是本发明实施例提供的另一种访问控制装置的框图；

图9是本发明实施例提供的又一种访问控制装置的框图；

图10是本发明实施例提供的一种访问控制系统的框图。

具体实施方式

下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。

图1是本发明实施例提供的一种访问控制方法的步骤流程图，应用于包括中转设备和目标设备的系统，如图1所示，该方法可以包括：

步骤101、所述中转设备接收访问设备发送的访问数据包。

本发明实施例中，该访问设备指的是需要访问目标设备，向目标设备发送访问数据包的设备，该访问设备可以为计算机、服务器、便携式移动终端等，本发明实施例对此不作限定。

进一步地，该访问数据包可以为访问设备发送的目标地址为目标设备的ip地址的数据包，实际应用中，设备在发送数据包时，通常是直接将数据包发送至该数据包的目标地址所表示的设备，而本发明实施例中，为了便于目标设备基于访问数据包的权限对访问数据包进行处理，可以预先对访问设备进行路由配置，以使访问设备能够将访问数据包先发送给中转设备，相应的，中转设备可以接收访问设备发送的访问数据包。

步骤102、所述中转设备基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包。

本发明实施例中，该权限属性标识可以用于表示访问数据包的权限属性，该权限属性包括允许访问以及禁止访问，相应地，该权限属性标识可以包括表示允许访问的权限属性标识，以及禁止访问的权限属性标识。

进一步地，访问数据包的权限属性可以是由其源地址来决定，其中，访问数据包的源地址表示发送该访问数据包的访问设备的ip地址，一般，访问数据包的权限属性与发送其的访问设备的权限相对应，例如，访问设备具有访问权限时，其发送的访问数据包的权限属性可以为允许访问，访问设备不具有访问权限时，其发送的访问数据包的权限属性可以为禁止访问，因此，本发明实施例中，可以预先在中转设备定义具有访问权限的访问设备的ip地址以及不具有访问权限的访问设备的ip地址，相应地，中转设备可以先基于访问数据包的源地址，确定发送该访问数据包的访问设备的权限，然后基于发送该访问数据包的访问设备的权限，为访问数据包设置权限属性标识，进而得到目标数据包。

步骤103、所述中转设备将所述目标数据包发送给所述目标设备。

本发明实施例中，中转设备可以将目标数据包发送给所述目标设备，以便于目标设备目标数据包进行处理。

步骤104、所述目标设备基于所述权限属性标识所表示的权限属性对所述目标数据包进行处理。

本发明实施例中，由于中转设备在目标数据包中设置了权限属性标识，这样，目标设备接收到该目标数据包之后，直接基于该目标数据包中的权限属性标识即可确定目标数据包的权限属性，进而对该目标数据包进行相应的处理，进而可以省略在目标设备中存储权限名单的操作，相应地，目标设备也无需基于权限名单来确定目标数据包的权限，进而节省了目标设备的处理资源，避免对目标设备的性能造成影响，保证目标设备能够正常对目标数据包进行处理。

综上所述，本发明实施例提供的一种访问控制方法，中转设备可以接收访问设备发送的访问数据包，然后基于访问数据包的源地址为访问数据包设置权限属性标识，得到目标数据包，其中，该权限属性标识用于表示访问数据包的权限属性，权限属性包括允许访问以及禁止访问，最后将目标数据包发送给目标设备，目标设备可以基于权限属性标识所表示的权限属性对目标数据包进行处理这样，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包中包括的权限属性标识即可确定目标数据包的访问权限，进而实现对访问设备发送的数据包进行处理，进而可以降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

图2是本发明实施例提供的另一种访问控制方法的步骤流程图，应用于中转设备，如图2所示，该方法可以包括：

步骤201、接收访问设备发送的访问数据包；所述访问数据包的目标地址为目标设备的ip地址。

具体的，本步骤的实现方式可以参照上述步骤101，本发明实施例在此不做赘述。

步骤202、基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包。

具体的，本步骤的实现方式可以参照上述步骤102，本发明实施例在此不做赘述。

步骤203、将所述目标数据包发送给所述目标设备。

具体的，本步骤的实现方式可以参照上述步骤103，本发明实施例在此不做赘述。

综上所述，本发明实施例提供的另一种访问控制方法，中转设备可以接收访问设备发送的访问数据包，然后基于访问数据包的源地址为访问数据包设置权限属性标识，得到目标数据包，其中，该权限属性标识用于表示访问数据包的权限属性，权限属性包括允许访问以及禁止访问，最后将目标数据包发送给目标设备，使得目标设备可以基于权限属性标识所表示的权限属性对目标数据包进行处理，这样，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包中包括的权限属性标识即可确定目标数据包的访问权限，进而实现对访问设备发送的数据包进行处理，进而可以降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

图3是本发明实施例提供的又一种访问控制方法的步骤流程图，应用于访问设备，如图3所示，该方法可以包括：

步骤301、将访问数据包发送给中转设备，以使所述中转设备基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包，并将所述目标数据包发送给目标设备。

本发明实施例中，该访问数据包的目标地址可以为目标设备的ip地址，该中转设备可以为计算机，服务器，便携式移动终端，等等，本发明实施例对此不作限定。实际应用中，设备在发送数据包时，通常是直接将数据包发送至该数据包的目标地址所表示的设备，而本发明实施例中，为了便于目标设备基于访问数据包的权限对访问数据包进行处理，可以预先对访问设备进行路由配置，以使访问设备能够将目标地址为目标设备的ip地址的访问数据包先发送给中转设备，进而通过中转设备基于访问数据包的源地址为目标数据包设置权限属性标识，并将设置之后得到的目标数据包发送给目标设备，由于通过中转设备在目标数据包中设置了权限属性标识，因此，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包中包括的权限属性标识即可确定目标数据包的访问权限，对目标数据包进行处理，进而可以降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

综上所述，本发明实施例提供的又一种访问控制方法，访问设备可以将目标地址为目标设备的ip地址的访问数据包发送给中转设备，以使中转设备基于访问数据包的源地址为访问数据包设置权限属性标识，并将设置之后得到的目标数据包发送给目标设备，这样，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包中包括的权限属性标识即可确定目标数据包的访问权限，进而实现对访问设备发送的数据包进行处理，进而可以降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

图4是本发明实施例提供的再一种访问控制方法的步骤流程图，应用于目标设备，如图4所示，该方法可以包括：

步骤401、接收中转设备发送的目标数据包；所述目标数据包中设置有表示所述目标数据包的权限属性的权限属性标识。

本发明实施例中，该目标数据包可以是中转设备基于访问设备发送的访问数据包生成的，该访问数据包的源地址为访问设备的ip地址，具体的，可以是中转设备基于该访问数据包的源地址，在该访问数据包中设置权限属性标识得到的，即，目标数据包中携带的数据有效信息与访问数据包中携带的数据有效信息相同，可以认为该目标数据包本质上为访问设备发送的数据包。进一步地，由于该目标数据包中包括权限属性标识，因此，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包中包括的权限属性标识即可确定目标数据包的访问权限，对目标数据包进行处理，进而可以降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

步骤402、基于所述目标数据包中的权限属性标识，对所述目标数据包进行处理。

本发明实施例中，目标设备可以基于该目标数据包中的权限属性标识所表示的权限属性，对目标数据包进行相应的处理，进而实现访问控制。

综上所述，本发明实施例提供的再一种访问控制方法，目标设备可以接收中转设备发送的目标数据包，其中，该目标数据包中设置有表示目标数据包的权限属性的权限属性标识，然后基于目标数据包中的权限属性标识，对目标数据包进行处理，这样，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包中包括的权限属性标识即可确定目标数据包的访问权限，进而实现对访问设备发送的数据包进行处理，进而可以降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

图5是本发明实施例提供的再一种访问控制方法的步骤流程图，如图5所示，该方法可以包括：

步骤501、访问设备将访问数据包发送给中转设备；其中，所述访问数据包的目标地址为所述目标设备的ip地址。

本步骤中，为了使访问设备能够将访问数据包先发送给中转设备，可以预先基于中转设备的ip地址，对所述访问设备的路由配置进行更改，具体的，可以将中转设备的ip地址添加至访问设备的路由规则中，来实现路由配置。

进一步地，访问设备将访问数据包发送给中转设备时，可以先向中转设备发送包括访问设备ip地址以及端口信息的建立连接请求，这样，中转设备可以基于该访问设备端口信息以及ip地址，与访问设备建立连接通道，然后，访问设备可以通过该连接通道将访问数据包发送给中转设备。其中，该连接通道可以为传输控制协议(transmissioncontrolprotocol，tcp)连接通道。

步骤502、中转设备接收访问设备发送的访问数据包。

相应地，本步骤中，中转设备可以接收访问设备发送的包括访问设备的端口信息以及访问设备的ip地址的建立连接请求，然后基于访问设备的端口信息以及访问设备的ip地址，与访问设备建立连接通道，接着，基于连接通道接收访问数据包。

步骤503、中转设备基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包。

本步骤可以有以下两种可行的实施方案。

第一种可行的实施方案：

该权限属性标识可以为权限ip地址，相应地，中转设备可以基于下述子步骤(1)～子步骤(3)实现基于访问数据包的源地址为访问数据包设置权限属性标识，得到目标数据包的操作：

子步骤(1)：中转设备获取所述访问数据包的源地址。

本步骤中，中转设备可以先对访问数据包进行解析，然后从解析后的访问数据包中存储源地址信息的位置，读取该访问数据包的源地址。

子步骤(2)：中转设备基于所述访问数据包的源地址，确定所述访问数据包的权限属性对应的权限ip地址。

本步骤中，中转设备可以先基于访问数据包的源地址确定访问数据包的源地址所在的目标网段，然后根据目标网段在预设的网段与权限ip地址对应关系中进行匹配，确定目标网段对应的权限ip地址，以作为访问数据包的权限属性对应的权限ip地址。

实际应用中，在进行访问权限控制时，往往需要对某个网段内所包含的所有ip地址进行权限控制，例如，有网段n1：1.1.1.0/24，网段n2：1.1.2.0/24，网段n3：1.1.3.0/24，可以限制网段n1不允许访问网段n3，网段n2允许访问网段n3。因此，本步骤中，可以根据实际需求预先为不同的网段设置表示权限属性的权限ip地址，建立网段与权限ip地址对应关系并存储在中转设备，这样，相较于存储多个ip地址的方式，可以减少存储的数据量。当然，本发明实施例中，也可以存储ip地址与权限ip地址对应关系，相应地，中转设备从该ip地址与权限ip地址对应关系中，直接查找访问数据包的源地址对应的权限ip地址即可，本发明实施例对此不作限定。

进一步地，由于访问数据包的源地址即为访问设备的ip地址，因此，中转设备可以先确定访问数据包的源地址所在的网段，即，ip地址所在的网段，然后从预设的网段与权限ip地址对应关系中查找该目标网段所对应的权限ip地址，将该目标网段对应的权限ip地址确定为访问数据包的权限属性对应的权限ip地址，示例的，假设即权限ip地址包括1.1.3.2以及1.1.3.3，其中，1.1.3.2表示禁止访问，1.1.3.3表示允许访问，网段n1对应的权限ip地址为1.1.3.2，网段n2对应的权限ip地址为1.1.3.3，访问数据包的源地址所在的目标网段为n2，那么中转设备可以将1.1.3.3确定为访问数据包的权限属性对应的权限ip地址。

子步骤(3)：中转设备利用所述访问数据包的权限属性对应的权限ip地址替换所述访问数据包的源地址，得到目标数据包。

本步骤中，中转设备可以删除访问数据包中存储的源地址，然后将该权限ip地址写入访问数据包中存储源地址的位置，得到目标数据包。

第二种可行的实施方案：

该权限属性标识为指定标记符，相应地，中转设备可以基于下述子步骤(4)～子步骤(6)实现基于访问数据包的源地址为访问数据包设置权限属性标识，得到目标数据包的操作：

子步骤(4)：中转设备获取所述访问数据包的源地址。

具体的，本步骤的实现方式与上述子步骤(1)类似，可以参考上述子步骤(1)，本发明实施例在此不做赘述。

子步骤(5)：中转设备基于所述访问数据包的源地址，确定所述访问数据包的权限属性。

本步骤中，中转设备可以先基于访问数据包的源地址确定访问数据包的源地址所在的目标网段，然后基于预设的网段与指定标记符对应关系，确定目标网段对应的指定标记符，最后将目标网段对应的指定标记符确定为访问数据包的权限属性对应的指定标记符。其中，该指定标记符可以包括表示允许访问的标记符以及表示禁止访问的标记符，标记符的具体形式可以是根据实际需求设定的，本发明实施例对此不作限定。例如，可以设置表示允许访问的标记符为a，表示禁止访问的标记符为b。示例的，假设访问数据包的源地址所在的目标网段对应的指定标记符为a，那么中转设备可以将a确定为访问数据包的权限属性对应的指定标记符。

子步骤(6)：中转设备在所述访问数据包的指定位置插入所述访问数据包的权限属性对应的指定标记符，得到目标数据包。

本步骤中，该指定位置可以是根据实际情况设定的，示例的，该指定位置可以为末位，相应地，中转设备可以将访问数据包的权限属性对应的指定标记符a插入访问数据包的末位，得到目标数据包。

步骤504、中转设备将所述目标数据包发送给所述目标设备。

具体的，本步骤的实现方式可以参照上述步骤103，本发明实施例在此不做赘述。

步骤505、目标设备接收中转设备发送的目标数据包。

具体的，本步骤的实现方式可以参照上述步骤301，本发明实施例在此不做赘述。

步骤506、目标设备基于所述目标数据包中的权限属性标识，对所述目标数据包进行处理。

具体的，目标设备可以先对目标数据包进行解析，然后从解析后的目标数据包中提取权限属性标识，若目标数据包中的权限属性标识表示允许访问，则可以对目标数据包进行处理，若目标数据包中的权限属性标识表示禁止访问，则丢弃该目标数据包。本发明实施例中，中转设备通过为访问数据包设置权限属性标识来生成目标数据包，目标设备通过对权限属性标识表示允许访问的目标数据包进行处理，以及丢弃权限属性标识表示禁止访问的目标数据包，这样，可以控制部分访问设备能够访问目标设备，进而实现访问控制，同时，通过有选择的丢弃目标数据包，可以控制目标设备上的数据包并发量，以及目标设备处理数据包所耗费的流量，进而实现并发控制以及流量控制。进一步地，实际应用中，为了尽可能节省目标设备的处理资源，可以通过中转设备，将对应的权限属性标识表示禁止访问的访问数据包直接丢弃，进而减少向目标设备发送的数据包数量，进而节省目标设备的处理资源。

进一步地，如果中转设备是利用权限ip地址更改访问数据包的源地址来生成目标数据包，由于目标数据包中未携带发送该数据包的访问设备的ip地址，为了便于后续过程中，目标设备针对该目标数据包的响应数据包能够正常发送给访问设备，目标设备可以将响应数据包发送给中转设备，然后中转设备可以接收目标设备发送的响应数据包，若响应数据包的目标地址为权限ip地址，则基于响应数据包中的端口信息，通过与端口信息对应的连接通道将响应数据包发送给对应的访问设备。具体的，中转设备可以在之前建立的连接通道中查找端口信息与响应数据包中的端口信息相同的连接通道，利用该连接通道，将响应数据包发送给访问设备。

综上所述，本发明实施例提供的再一种访问控制方法，访问设备可以将目标地址为目标设备的ip地址的访问数据包发送给中转设备，中转设备可以接收访问设备发送的访问数据包，然后基于访问数据包的源地址为访问数据包设置权限属性标识，得到目标数据包，其中，该权限属性标识用于表示访问数据包的权限属性，权限属性包括允许访问以及禁止访问，最后将目标数据包发送给目标设备，目标设备可以接收中转设备发送的目标数据包，然后基于目标数据包中的权限属性标识，对目标数据包进行处理，这样，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包中包括的权限属性标识即可确定目标数据包的访问权限，进而实现对访问设备发送的数据包进行处理，进而可以降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

图6是本发明实施例提供的一种访问控制系统的应用示意图，如图6所示，其中，s1表示访问设备1，s2表示访问设备2，s4表示中转设备，s3表示目标设备，进一步地，访问设备1的源地址所在的网段n1为：1.1.1.0/24，访问设备2的源地址所在的网段n2为：1.1.2.0/24，表示允许访问的权限ip地址为：1.1.3.3，表示禁止访问的权限ip地址为：1.1.3.2。

假设预设的网段与权限ip地址对应关系中，与网段n1：1.1.1.0/24相匹配的网段对应的权限ip地址1.1.3.2，与网段n2：1.1.2.0/24相匹配的网段对应的权限ip地址1.1.3.3，那么，中转设备可以将访问设备1发送的源地址在n1内的访问数据包的源地址更换为1.1.3.2，将访问设备2发送的源地址在n2内的访问数据包的源地址更换为1.1.3.3，进而得到目标数据包。然后，中转设备可以将目标数据包发送给目标设备。进一步地，目标设备可以将源地址为1.1.3.2的目标数据包丢弃，对源地址为1.1.3.3的目标数据包进行处理。

综上所述，本发明实施例中，中转设备可以根据访问设备的权限为访问设备发送的访问数据包重新设置能够表示权限属性的源地址，进而得到目标数据包，然后中转设备可以将目标数据包发送给目标设备，目标设备可以接收中转设备发送的目标数据包，然后对权限属性标识表示允许访问的目标数据包进行处理，以及丢弃权限属性标识表示禁止访问的目标数据包。这样，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包的源地址所表示的权限属性即可确定是否对目标数据包进行处理，进而实现对访问设备发送的数据包进行处理，降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

图7是本发明实施例提供的一种访问控制装置的框图，如图7所示，该装置70可以应用于中转设备，该装置70可以包括：

第一接收模块701，用于接收访问设备发送的访问数据包；所述访问数据包的目标地址为目标设备的ip地址。

设置模块702，用于基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包。

第一发送模块703，用于将所述目标数据包发送给所述目标设备。

可选的，所述权限属性包括允许访问以及禁止访问，所述权限属性标识为权限ip地址。

所述设置模块702，包括：

获取子模块，用于获取所述访问数据包的源地址。

确定子模块，用于基于所述访问数据包的源地址，确定所述访问数据包的权限属性对应的权限ip地址。

替换子模块，用于利用所述访问数据包的权限属性对应的权限ip地址替换所述访问数据包的源地址，得到目标数据包。

可选的，所述确定子模块，用于：

基于所述访问数据包的源地址确定所述访问数据包的源地址所在的目标网段。

根据所述目标网段在预设的网段与权限ip地址对应关系中进行匹配，确定所述目标网段对应的权限ip地址，以作为所述访问数据包的权限属性对应的权限ip地址。

可选的，所述权限属性标识为指定标记符；

所述设置模块702，用于：

获取所述访问数据包的源地址。

基于所述访问数据包的源地址，确定所述访问数据包的权限属性。

在所述访问数据包的指定位置插入所述访问数据包的权限属性对应的指定标记符，得到目标数据包。

可选的，所述第一接收模块701，用于：

基于所述访问设备的端口信息以及所述访问设备的ip地址，与所述访问设备建立连接通道。基于所述连接通道接收所述访问数据包。

所述装置70还包括：

第二接收模块，用于接收目标设备发送的响应数据包。

第二发送模块，用于若所述响应数据包的响应地址为权限ip地址，则基于所述响应数据包中的端口信息，通过与所述端口信息对应的连接通道将所述响应数据包发送给对应的访问设备。

综上所述，本发明实施例提供的一种访问控制装置，第一接收模块可以接收访问设备发送的访问数据包，然后设置模块可以基于访问数据包的源地址为访问数据包设置权限属性标识，得到目标数据包，其中，该权限属性标识用于表示访问数据包的权限属性，权限属性包括允许访问以及禁止访问，最后第一发送模块可以将目标数据包发送给目标设备，这样，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包中包括的权限属性标识即可确定目标数据包的访问权限，进而实现对访问设备发送的数据包进行处理，进而可以降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

图8是本发明实施例提供的另一种访问控制装置的框图，如图8所示，该装置80可以应用于访问设备，该装置80可以包括：

第三发送模块801，用于将访问数据包发送给中转设备，以使所述中转设备基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包，并将所述目标数据包发送给目标设备。

其中，所述访问数据包的目标地址为所述目标设备的ip地址。

可选的，所述装置80还包括：

更改模块，用于基于所述中转设备的ip地址，对所述访问设备的路由配置进行更改，以使所述访问设备将目标地址为目标设备的ip地址的访问数据包，发送至所述中转设备。

综上所述，本发明实施例提供的另一种访问控制装置，第三发送模块可以将目标地址为目标设备的ip地址的访问数据包发送给中转设备，以使所述中转设备基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，并将设置之后得到的目标数据包发送给目标设备，这样，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包中包括的权限属性标识即可确定目标数据包的访问权限，进而实现对访问设备发送的数据包进行处理，进而可以降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

图9是本发明实施例提供的又一种访问控制装置的框图，如图9所示，该装置90可以应用于目标设备，该装置90可以包括：

第三接收模块901，用于接收中转设备发送的目标数据包；所述目标数据包中设置有表示所述目标数据包的权限属性的权限属性标识，所述目标数据包是所述中转设备基于访问设备发送的访问数据包生成的，所述访问数据包的源地址为所述访问设备的ip地址。

处理模块902，用于基于所述目标数据包中的权限属性标识，对所述目标数据包进行处理。

可选的，所述处理模块902，用于：

若所述目标数据包中的权限属性标识表示允许访问，则对所述目标数据包进行处理。

若所述目标数据包中的权限属性标识表示禁止访问，则丢弃所述目标数据包。

综上所述，本发明实施例提供的又一种访问控制装置，第三接收模块可以接收中转设备发送的目标数据包，其中，该目标数据包中设置有表示目标数据包的权限属性的权限属性标识，然后处理模块可以基于目标数据包中的权限属性标识，对目标数据包进行处理，这样，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包中包括的权限属性标识即可确定目标数据包的访问权限，进而实现对访问设备发送的数据包进行处理，进而可以降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

图10是本发明实施例提供的一种访问控制系统的框图，如图10所示，该系统10可以包括：中转设备1001以及目标设备1002；

其中，所述中转设备1001，用于接收访问设备1003发送的访问数据包；所述访问数据包的目标地址为所述目标设备的ip地址；

所述中转设备1001，还用于基于所述访问数据包的源地址为所述访问数据包设置权限属性标识，得到目标数据包；

所述中转设备1001，还用于将所述目标数据包发送给所述目标设备1002；

所述目标设备1002，用于基于所述权限属性标识所表示的权限属性对所述目标数据包进行处理。

综上所述，本发明实施例提供的一种访问控制系统，中转设备可以接收访问设备发送的访问数据包，然后基于访问数据包的源地址为访问数据包设置权限属性标识，得到目标数据包，其中，该权限属性标识用于表示访问数据包的权限属性，权限属性包括允许访问以及禁止访问，最后将目标数据包发送给目标设备，目标设备可以接收中转设备发送的目标数据包，然后基于目标数据包中的权限属性标识，对目标数据包进行处理，这样，无需在目标设备中存储权限名单，目标设备也无需基于该权限名单来确定权限，直接基于目标数据包中包括的权限属性标识即可确定目标数据包的访问权限，进而实现对访问设备发送的数据包进行处理，进而可以降低对目标设备存储空间的占用，避免对目标设备的性能以及目标设备对数据包的正常处理造成影响。

对于上述装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

另外，本发明实施例还提供一种终端，包括处理器，存储器，存储在存储器上并可在处理上运行的计算机程序，该计算机程序被处理器执行时实现上述访问控制方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述访问控制方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，可以为只读存储器(read-onlymemory，简称rom)、随机存取存储器(randomaccessmemory，简称ram)、磁碟或者光盘等。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域技术人员易于想到的是：上述各个实施例的任意组合应用都是可行的，故上述各个实施例之间的任意组合都是本发明的实施方案，但是由于篇幅限制，本说明书在此就不一一详述了。

在此提供的访问控制方法不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造具有本发明方案的系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的访问控制方法中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。